# 使用标准策略设置签名 Cookie
<a name="private-content-setting-signed-cookie-canned-policy"></a>

要使用标准策略设置签名 Cookie，请完成以下步骤。要创建签名，请参阅[为使用标准策略的签名 Cookie 创建签名](#private-content-canned-policy-signature-cookies)。<a name="private-content-setting-signed-cookie-canned-policy-procedure"></a>

**使用标准策略设置签名 Cookie**

1. 如果您要使用 .NET 和 Java 创建签名 Cookie，但尚未将密钥对私有密钥的格式从默认 .pem 格式重新设置为与 .NET 和 Java 兼容的格式，请立即执行该操作。有关更多信息，请参阅 [重新设置私有密钥的格式（仅限 .NET 和 Java）](private-content-trusted-signers.md#private-content-reformatting-private-key)。

1. 对您的应用程序进行编程，使其向已批准的查看器发送三个 `Set-Cookie` 标头（如果要指定哈希算法，则发送四个）。您之所以需要三个 `Set-Cookie` 标头，是因为每个 `Set-Cookie` 标头只能包含一个名称-值对，而 CloudFront 签名 Cookie 需要三个名称-值对。名称值对为：`CloudFront-Expires`、`CloudFront-Signature` 和 `CloudFront-Key-Pair-Id`。您可以选择添加第四个名称/值对 `CloudFront-Hash-Algorithm`，以指定用于签名的哈希算法。在用户首次请求您希望控制访问权的文件时，查看器中必须包含这些值。
**注意**  
一般情况下，建议排除 `Expires` 和 `Max-Age` 属性。如果排除这些属性，那么当用户关闭浏览器时，浏览器会删除 Cookie，这降低了其他人非法访问内容的可能性。有关更多信息，请参阅 [防止滥用签名 Cookie](private-content-signed-cookies.md#private-content-signed-cookie-misuse)。

   **Cookie 属性的名称区分大小写**。

   包含换行符的目的只是为了让属性的可读性更佳。

   ```
   Set-Cookie: 
   CloudFront-Expires=date and time in Unix time format (in seconds) and Coordinated Universal Time (UTC); 
   Domain=optional domain name; 
   Path=/optional directory path; 
   Secure; 
   HttpOnly
   
   Set-Cookie: 
   CloudFront-Signature=hashed and signed version of the policy statement; 
   Domain=optional domain name; 
   Path=/optional directory path; 
   Secure; 
   HttpOnly
   
   Set-Cookie: 
   CloudFront-Key-Pair-Id=public key ID for the CloudFront public key whose corresponding private key you're using to generate the signature; 
   Domain=optional domain name; 
   Path=/optional directory path; 
   Secure; 
   HttpOnly
   
   Set-Cookie: 
   CloudFront-Hash-Algorithm=SHA1 or SHA256; 
   Domain=optional domain name; 
   Path=/optional directory path; 
   Secure; 
   HttpOnly
   ```  
**（可选）`Domain`**  
所请求文件的域名。如果不指定 `Domain` 属性，则默认值是 URL 中的域名，它仅适用于指定的域名，而不适用于子域。如果指定 `Domain` 属性，它还将适用于子域。可以选择在域名前加一个句点（例如 `Domain=.example.com`）。此外，如果指定 `Domain` 属性，那么 URL 中的域名则必须与 `Domain` 属性的值匹配。  
可以指定 CloudFront 为您的分配指定的域名（例如 d111111abcdef8.cloudfront.net），但不能为域名指定 \$1.cloudfront.net。  
如果希望在 URL 中使用备用域名（如 example.com），则必须向分配添加备用域名，而无论是否指定 `Domain` 属性。有关更多信息，请参阅 [备用域名 (CNAME)](DownloadDistValuesGeneral.md#DownloadDistValuesCNAME)主题中的 [所有分配设置参考](distribution-web-values-specify.md)。  
**（可选）`Path`**  
所请求文件的路径。如果未指定 `Path` 属性，则默认值是 URL 中的路径。  
**`Secure`**  
要求查看器先加密 Cookie，然后再发送请求。建议通过 HTTPS 连接发送 `Set-Cookie` 标头，以确保 Cookie 受到保护，而不会受到中间人攻击。  
**`HttpOnly`**  
定义浏览器（如果受支持）如何与 Cookie 值进行交互。如果选择 `HttpOnly`，则 JavaScript 无法访问 Cookie 值。这种预防措施有助于缓解跨站点脚本（XSS）攻击。有关更多信息，请参阅[使用 HTTP Cookie](https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies)。  
**`CloudFront-Expires`**  
指定 Unix 时间格式（以秒为单位） 和协调通用时间 (UTC) 格式的过期日期和时间。例如，2026 年 1 月 1 日上午 10 点 UTC 转换为 Unix 时间格式就是 1767290400。  
要使用纪元时间，请指定 64 位整数表示日期，该日期不得晚于 `9223372036854775807`（2262 年 4 月 11 日，星期五，23:47:16.854 UTC）。  
有关 UTC 的信息，请参阅 *RFC 3339，Internet 上的日期和时间：时间戳*，网址为 [https://tools.ietf.org/html/rfc3339](https://tools.ietf.org/html/rfc3339)。  
**`CloudFront-Signature`**  
JSON 策略声明经过哈希处理、签署和 Base64 编码的版本。有关更多信息，请参阅 [为使用标准策略的签名 Cookie 创建签名](#private-content-canned-policy-signature-cookies)。  
**`CloudFront-Key-Pair-Id`**  
CloudFront 公有密钥的 ID，例如，`K2JCJMDEHXQW5F`。公有密钥 ID 告诉 CloudFront 要使用哪个公有密钥来验证签名的 URL。CloudFront 将比较签名中的信息与策略声明中的信息，以确认该 URL 没有被篡改。  
此公有密钥必须属于作为分配中可信签署人的密钥组。有关更多信息，请参阅 [指定可以创建签名 URL 和签名 Cookie 的签署人](private-content-trusted-signers.md)。  
**`CloudFront-Hash-Algorithm`**  
（可选）用于创建签名的哈希算法。支持的值为 `SHA1` 和 `SHA256`。如果不包含此 Cookie，则 CloudFront 默认为 `SHA1`。

以下示例显示了在文件的 URL 中使用与分配关联的域名时一个签名 Cookie 的 `Set-Cookie` 标头：

```
Set-Cookie: CloudFront-Expires=1426500000; Domain=d111111abcdef8.cloudfront.net; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Signature=yXrSIgyQoeE4FBI4eMKF6ho~CA8_; Domain=d111111abcdef8.cloudfront.net; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Key-Pair-Id=K2JCJMDEHXQW5F; Domain=d111111abcdef8.cloudfront.net; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Hash-Algorithm=SHA256; Domain=d111111abcdef8.cloudfront.net; Path=/images/*; Secure; HttpOnly
```

以下示例显示了在文件的 URL 中使用备用域名 example.org 时一个签名 Cookie 的 `Set-Cookie` 标头：

```
Set-Cookie: CloudFront-Expires=1426500000; Domain=example.org; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Signature=yXrSIgyQoeE4FBI4eMKF6ho~CA8_; Domain=example.org; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Key-Pair-Id=K2JCJMDEHXQW5F; Domain=example.org; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Hash-Algorithm=SHA256; Domain=example.org; Path=/images/*; Secure; HttpOnly
```

如果希望在 URL 中使用备用域名 (如 example.com)，则必须向分配添加备用域名，而无论是否指定 `Domain` 属性。有关更多信息，请参阅 [备用域名 (CNAME)](DownloadDistValuesGeneral.md#DownloadDistValuesCNAME)主题中的 [所有分配设置参考](distribution-web-values-specify.md)。

## 为使用标准策略的签名 Cookie 创建签名
<a name="private-content-canned-policy-signature-cookies"></a>

要为使用标准策略的签名 Cookie 创建签名，请完成以下步骤。

**Topics**
+ [为使用标准策略的签名 Cookie 创建策略声明](#private-content-canned-policy-statement-cookies)
+ [签署策略声明，以便为使用标准策略的签名 Cookie 创建签名](#private-content-canned-policy-cookies-signing-policy-statement)

### 为使用标准策略的签名 Cookie 创建策略声明
<a name="private-content-canned-policy-statement-cookies"></a>

设置使用标准策略的签名 Cookie 时，`CloudFront-Signature` 属性是策略声明的经过哈希处理和签署的版本。对于使用标准策略的签名 Cookie，请不要像在使用自定义策略的签名 Cookie 一样在 `Set-Cookie` 标头中包含策略声明。要创建策略语句，请完成以下步骤。<a name="private-content-canned-policy-statement-cookies-procedure"></a>

**为使用标准策略的签名 Cookie 创建策略声明**

1. 使用以下 JSON 格式以及 UTF-8 字符编码构建策略声明。根据指定，准确包括所有标点符号和其他文本值。有关 `Resource` 和 `DateLessThan` 参数的信息，请参阅 [在策略声明中为使用标准策略的签名 Cookie 指定的值](#private-content-canned-policy-statement-cookies-values)。

   ```
   {
       "Statement": [
           {
               "Resource": "base URL or stream name",
               "Condition": {
                   "DateLessThan": {
                       "AWS:EpochTime": ending date and time in Unix time format and UTC
                   }
               }
           }
       ]
   }
   ```

1. 删除策略声明中的所有空格（包括制表符和换行符）。您可能需要在应用程序代码的字符串中包括换码符。

#### 在策略声明中为使用标准策略的签名 Cookie 指定的值
<a name="private-content-canned-policy-statement-cookies-values"></a>

为标准策略创建策略声明时，请指定以下值：

**资源**  
包含查询字符串 (如果有) 的基本 URL，例如：  
`https://d111111abcdef8.cloudfront.net/images/horizon.jpg?size=large&license=yes`  
只能为 `Resource` 指定一个值。  
请注意以下几点：  
+ **协议** – 该值必须以 `http://` 或 `https://` 开头。
+ **查询字符串参数** – 如果没有查询字符串参数，请省略问号。
+ **备用域名** – 如果在 URL 中指定备用域名 (CNAME)，则必须在引用网页或应用程序中的文件时指定备用域名。请勿为文件指定 Amazon S3 URL。

**DateLessThan**  
Unix 时间格式（以秒为单位）和协调通用时间 (UTC) 格式的 URL 过期日期和时间。切勿用引号将该值括起来。  
例如，UTC 时间 2015 年 3 月 16 日上午 10 点转换为 Unix 时间格式就是 1426500000。  
该值必须与 `CloudFront-Expires` 标头中的 `Set-Cookie` 属性的值匹配。切勿用引号将该值括起来。  
有关更多信息，请参阅 [CloudFront 何时检查签名 Cookie 中的过期日期和时间](private-content-signed-cookies.md#private-content-check-expiration-cookie)。

#### 标准策略的示例策略声明
<a name="private-content-canned-policy-cookies-sample-policy-statement"></a>

当在签名 Cookie 中使用以下示例策略声明时，用户可访问文件 `https://d111111abcdef8.cloudfront.net/horizon.jpg`，直至 UTC 时间 2015 年 3 月 16 日上午 10 点：

```
{
    "Statement": [
        {
            "Resource": "https://d111111abcdef8.cloudfront.net/horizon.jpg?size=large&license=yes",
            "Condition": {
                "DateLessThan": {
                    "AWS:EpochTime": 1426500000
                }
            }
        }
    ]
}
```

### 签署策略声明，以便为使用标准策略的签名 Cookie 创建签名
<a name="private-content-canned-policy-cookies-signing-policy-statement"></a>

要为 `CloudFront-Signature` 标头中的 `Set-Cookie` 属性创建值，请对在 [为使用标准策略的签名 Cookie 创建策略声明](#private-content-canned-policy-statement-cookies-procedure) 中创建的策略声明进行哈希处理并签署。

有关如何对策略声明进行哈希、签署及编码的更多信息和示例，请参阅以下主题：
+ [用于 Base64 编码和加密的 Linux 命令和 OpenSSL](private-content-linux-openssl.md)
+ [为签名 URL 创建签名的代码示例](PrivateCFSignatureCodeAndExamples.md)

**注意**  
关联的示例默认使用 SHA-1。要改为使用 SHA-256，请在 OpenSSL 命令中将 `sha1` 替换为 `sha256`，并包括值为 `SHA256` 的 `CloudFront-Hash-Algorithm` Cookie。<a name="private-content-canned-policy-cookie-creating-signature-procedure"></a>

**为使用标准策略的签名 Cookie 创建签名**

1. 使用 SHA-1 或 SHA-256 哈希函数和 RSA 对在[为使用标准策略的签名 Cookie 创建策略声明](#private-content-canned-policy-statement-cookies-procedure)过程中创建的策略声明进行哈希处理并签署。使用不再包含空格的策略声明版本。

   如果您使用 SHA-256，则必须包含值为 `SHA256` 的 `CloudFront-Hash-Algorithm` Cookie。

   对于哈希函数所需的私有密钥，请使用其公有密钥位于分配的活动可信密钥组中的私有密钥。
**注意**  
您用于哈希及签署策略声明的方法取决于您的编程语言和平台。有关代码示例，请参阅 [为签名 URL 创建签名的代码示例](PrivateCFSignatureCodeAndExamples.md)。

1. 删除经过哈希处理并签署的字符串中的空格（包括制表符和换行符）。

1. 使用 MIME Base64 编码对字符串进行 Base64 编码。有关更多信息，请参阅 *RFC 2045, MIME (Multipurpose Internet Mail Extensions) Part One: Format of Internet Message Bodies* 中的 [Section 6.8, Base64 Content-Transfer-Encoding](https://tools.ietf.org/html/rfc2045#section-6.8)。

1. 用有效的字符替换 URL 查询字符串中的无效字符。下表列出了无效和有效字符。  
****    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/AmazonCloudFront/latest/DeveloperGuide/private-content-setting-signed-cookie-canned-policy.html)

1. 在 `Set-Cookie` 名称-值对的 `CloudFront-Signature` 标头中包含结果值。然后返回到[使用标准策略设置签名 Cookie](#private-content-setting-signed-cookie-canned-policy-procedure)为 `CloudFront-Key-Pair-Id` 添加 `Set-Cookie` 标头。